Podatność CVE-2021-39347
Publikacja: 2021-10-04

Opis:
The Stripe for WooCommerce WordPress plugin is missing a capability check on the save() function found in the ~/includes/admin/class-wc-stripe-admin-user-edit.php file that makes it possible for attackers to configure their account to use other site users unique STRIPE identifier and make purchases with their payment accounts. This affects versions 3.0.0 - 3.3.9.

Typ:

CWE-862

 (Missing Authorization)

CVSS2 => (AV:N/AC:L/Au:S/C:N/I:P/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
4/10
2.9/10
8/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Jednorazowa
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Brak
Częściowy
Brak
Affected software
Paymentplugins -> Stripe for woocommerce 

 Referencje:
https://www.wordfence.com/vulnerability-advisories/#CVE-2021-39347
https://plugins.trac.wordpress.org/changeset/2601162/woo-stripe-payment/trunk/includes/admin/class-wc-stripe-admin-user-edit.php
Copyright 2024, cxsecurity.com

 

Back to Top